□ 文 劉俊杉 段 莉

一、背景

等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置，是針對國家網(wǎng)絡安全的基本制度。我國于2007年正式實施等級保護制度。經(jīng)過10多年的發(fā)展，2019年5月等級保護2.0標準發(fā)布，并于同年12月1日正式實施，這標志著我國網(wǎng)絡信息安全等級保護工作進入了新的時代，對保障國家網(wǎng)絡安全具有里程碑的意義。

隨著科技的進步和通信網(wǎng)絡的發(fā)展，網(wǎng)絡與信息安全形勢日益嚴峻，網(wǎng)絡安全逐漸被推上更重要的位置。習近平總書記針對網(wǎng)絡安全提出了重要論斷：沒有網(wǎng)絡安全就沒有國家安全。黨的十九大也針對網(wǎng)絡安全作出戰(zhàn)略部署：指出加強互聯(lián)網(wǎng)內(nèi)容建設，建立網(wǎng)絡綜合治理體系，營造清朗的網(wǎng)絡空間，堅持系統(tǒng)性謀劃、綜合性治理、體系化推進，逐步建立起涵蓋領導管理、正能量傳播、內(nèi)容管控、社會協(xié)同、網(wǎng)絡法治、技術治網(wǎng)等多方面內(nèi)容的網(wǎng)絡綜合治理體系，全方位提升網(wǎng)絡綜合治理能力。

相較于等級保護1.0標準，等級保護2.0標準為了順應新技術的發(fā)展及應用，將保護對象的范圍、防御體系和實施流程等方面都納入了擴展要求。

二、等級保護2.0相關概念

2.1 等級保護制度發(fā)展歷程

隨著互聯(lián)網(wǎng)技術的發(fā)展，近年來國家陸續(xù)出臺了針對網(wǎng)絡安全、信息安全的相關法律、法規(guī)和標準，為網(wǎng)絡及信息安全提供了政策保障。從1994年國務院147號令《中華人民共和國計算機系統(tǒng)安全保護條例》、2003年中辦發(fā)27號文《國家信息化領導小組關于加強信息安全保障工作的意見》以及2004年公通字66號文《關于信息安全等級保護工作的實施意見》開始，國家針對網(wǎng)絡及信息安全保護的進程開啟。

2007年《信息安全等級保護管理辦法》發(fā)布，規(guī)定了信息系統(tǒng)定級、備案、安全建設整改、等級測評、檢查五部分。2008年以后，等級保護1.0標準發(fā)布，包括《信息安全技術信息系統(tǒng)安全等級保護基本要求》、《信息安全技術信息系統(tǒng)安全等級保護定級指南》、《信息安全技術信息系統(tǒng)安全等級保護實施指南》等，等級保護工作開始逐步推廣，標志我國等級保護工作進入發(fā)展階段。

黨的十八大以來，網(wǎng)絡安全工作也被推到了更重要的位置。習近平總書記對網(wǎng)絡安全與國家主權、網(wǎng)絡安全與國家安全、網(wǎng)絡安全與人民、網(wǎng)絡安全與法制、網(wǎng)絡安全與信息化發(fā)展、網(wǎng)絡安全與國際社會都做出重要指示。2015年以來，我國關于網(wǎng)絡安全已頒布或印發(fā)190項法律法規(guī)和政策要求，與通信相關的有40余項。2016年11月7日，全國人民代表大會常務委員會正式頒布《中華人民共和國網(wǎng)絡安全法》。自2017年6月1日起施行，明確提出我國要實行網(wǎng)絡安全等級保護制度，等級保護已經(jīng)上升到法律層面。2019年5月，《信息安全技術網(wǎng)絡安全等級保護基本要求》、《信息安全技術網(wǎng)絡安全等級保護測評要求》以及《信息安全技術網(wǎng)絡安全等級保護設計要求》標準正式發(fā)布，要求2019年12月1日起施行，標志我國網(wǎng)絡安全等級保護制度已經(jīng)邁入全新的2.0階段，著重于積極防御、動態(tài)防御、精準防護和整體防控，是網(wǎng)絡安全的新發(fā)展。

2.2 等級保護2.0的核心變化

通過對比等級保護1.0與等級保護2.0的相關標準，包括基本要求、測評要求、設計技術要求，等級保護2.0在制度地位上明確提升，有31條規(guī)定：國家對關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護；2.0標準在保護對象上進一步豐富和完善，要求更加適應新形勢；2.0標準更加強調(diào)未知威脅檢測能力，強調(diào)安全檢測能力和安全響應能力的建設；2.0標準在政策體系上也做出進一步細化完善，配套管理規(guī)范、實施細則正在陸續(xù)出臺，體現(xiàn)了動態(tài)的、積極防御的安全理念；2.0標準也進一步提升了適用性和可操作性，核心標準全部修訂、測評要求細化、充分考慮可操作性。

等級保護2.0標準新增或修訂了以下四部分。

2.2.1 保護對象更加全面

首先，從等級保護1.0標準《信息安全技術信息系統(tǒng)安全等級保護基本要求》和等級保護2.0標準《信息安全技術網(wǎng)絡安全等級保護基本要求》的名稱來看，不難發(fā)現(xiàn)1.0中保護對象為信息系統(tǒng)，而2.0中已變?yōu)榫W(wǎng)絡安全系統(tǒng)，涵蓋面更全。等級保護2.0要求內(nèi)容簡要如表1。

表1 等級保護2.0要求簡圖

其次，從技術發(fā)展來看，等級保護2.0中為了適應云計算技術、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制、移動互聯(lián)網(wǎng)的發(fā)展，不斷擴大等級保護對象的外延，將云計算、大數(shù)據(jù)等納入到保護范圍內(nèi)。等級保護2.0要求中對新納入范圍的保護對象分級闡述，并對應用場景進行說明，新的信息技術催生新的安全技術。

2.2.2 安全要求更加豐富

安全技術指標由原來的五個層面調(diào)整為物理與環(huán)境安全、網(wǎng)絡與通信安全、設備和技術安全、應用和數(shù)據(jù)安全四個層面，安全管理指標由原來的五個層面調(diào)整為安全策略與管理制度、安全管理機構和人員、安全建設管理、安全運維管理四個層面。各個層面的控制點和指標項均進行了相應的調(diào)整，結(jié)構清晰合理，體系更加完善。

等級保護2.0要求中增加了安全擴展要求。安全擴展要求是針對特殊對象的個性化要求，包括新納入范圍的云計算、物聯(lián)網(wǎng)等的安全要求。如移動互聯(lián)網(wǎng)一般從結(jié)構上分為移動終端、無線通道、接入設備及服務器層，2.0標準中移動互聯(lián)網(wǎng)安全擴展要求主要針對移動終端、移動應用和無線接入網(wǎng)部分提出特殊安全要求，通過安全通用要求和安全擴展要求構成系統(tǒng)的整體安全防護。

2.2.3 控制措施更加嚴密

等級保護2.0的管理策略為：明確定級、增強保護、常態(tài)監(jiān)督。根據(jù)定取等級對應相應的測評周期，二級信息系統(tǒng)每兩年測評一次，三級以上定級對象要求每年至少開展一次測評，網(wǎng)絡安全系統(tǒng)的建設、評估形成閉環(huán)管理，更有利于發(fā)現(xiàn)問題、優(yōu)化系統(tǒng)。

相較于等級保護1.0要求，等級保護2.0中除規(guī)定的五個基本內(nèi)容外，增加了新的安全要求，包括安全檢測、數(shù)據(jù)防護、風險評估、安全監(jiān)測、通報預警、態(tài)勢感知、應急處理等。同時，等級保護2.0將可信驗證列入各級別（一級到四級）和各環(huán)節(jié)的主要功能要求中，建立了信任鏈，保證網(wǎng)絡系統(tǒng)從軟硬件平臺到操作系統(tǒng)，再到應用，一級信任一級，擴展至計算機系統(tǒng)，從而保證計算機系統(tǒng)的可信任。

三、通信系統(tǒng)網(wǎng)絡安全現(xiàn)狀分析

通過對通信網(wǎng)絡安全系統(tǒng)現(xiàn)狀的分析，發(fā)現(xiàn)目前網(wǎng)絡安全在系統(tǒng)建設和管理方面存在以下兩方面不足。

3.1 系統(tǒng)建設方面

3.1.1 現(xiàn)網(wǎng)入侵感知能力不足

無法有效檢測攻擊行為，積極防御能力有待提升；現(xiàn)網(wǎng)存在大量入侵痕跡，內(nèi)網(wǎng)系統(tǒng)存在被植入后門、挖礦軟件、活躍蠕蟲病毒等歷史入侵痕跡，而且被控時間較長，但均無感知。

3.1.2 互聯(lián)網(wǎng)暴露面管控不足

目前網(wǎng)絡存在私搭亂建VPN，缺乏管理的現(xiàn)象，容易被滲透進入內(nèi)網(wǎng)。由于接入公網(wǎng)的系統(tǒng)逐漸增加，系統(tǒng)開發(fā)人員不同，導致部分暴露面的資產(chǎn)長期無人使用、無人管理、無人維護；安全設備大多無精細化的策略控制，WAF防火墻等未正確配置策略導致對非法攻擊行為無法及時阻斷。

3.1.3 內(nèi)網(wǎng)安全管理不足

內(nèi)網(wǎng)安全域邊界不清、邊界模糊導致內(nèi)網(wǎng)大量設備被攻擊；內(nèi)網(wǎng)主機只用相同的賬號口令，容易導致“一臺突破、同網(wǎng)盡失”；運維設備權限過大，部分網(wǎng)絡監(jiān)控、管理終端直接管理核心設備，容易被控制引發(fā)癱瘓，造成事故。

3.1.4 應急處置機制虛設

檢測能力有待提升，互聯(lián)網(wǎng)暴露資產(chǎn)可被有效控制，監(jiān)測上報率較低；信息上報不及時，不能按照要求及時報送應急處置工作情況；存在應急預案與執(zhí)行兩張皮現(xiàn)象，內(nèi)網(wǎng)系統(tǒng)被攻陷時未能及時按預案啟動應急處置機制。

3.1.5 安全運維管理不足

常見高危漏洞未及時修復，多臺主機仍存在Struts2、WebLogic等中間件高危漏洞，仍存在“永恒之藍”高危漏洞；系統(tǒng)安全配置不當、業(yè)務邏輯不清晰，日志中賬號口令明文記錄、未授權訪問等低級錯誤仍大量存在；系統(tǒng)交維存在“空窗期”，部分業(yè)務系統(tǒng)上線后驗收前并未按要求實施安全管控，存在較大的安全隱患。

3.2 組織人員方面

圖1 云計算應用系統(tǒng)架構簡圖

在人員結(jié)構、能力認證、安全意識方面亟需進一步加強和提升。

目前，安全管理人員多，組織機構龐雜；但安全技術人員少，具有實際運維經(jīng)驗的專業(yè)人員少，其中有安全相關能力認證的人員更少，在業(yè)務中斷響應和業(yè)務應急處置等技術能力存在不足；員工安全意識不足，大量重要系統(tǒng)的中間件、數(shù)據(jù)庫、網(wǎng)絡設備仍存在使用弱口令或默認口令的現(xiàn)象。

四、新技術應用場景及網(wǎng)絡安全需求

4.1 云計算技術應用場景

圖2 大數(shù)據(jù)系統(tǒng)架構簡圖

云計算技術通過互聯(lián)網(wǎng)實現(xiàn)彈性可伸縮的按需服務、泛在接入、多租戶、可度量的特征。隨著云計算技術的成熟及應用的普及，云計算安全成為制約云計算發(fā)展的重要因素之一。根據(jù)國家互聯(lián)網(wǎng)應急中心《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢》統(tǒng)計，云平臺成為發(fā)生網(wǎng)絡攻擊的重災區(qū)。

云計算技術應用如圖1，通常分為基礎設施層（IAAS）、平臺層（PAAS）及應用層（SAAS）三層。在云計算應用的不同模式中，提供商和租戶對計算資源有著不同的控制范圍，也相應決定了不同角色的安全責任邊界。在提供IAAS層服務時，云計算平臺由基礎設施、資源管控層和虛擬化層組成；在提供PAAS層服務時，云計算平臺由基礎設施、資源管控層、虛擬化層和平臺能力層組成；在提供SAAS層服務時，云計算平臺由基礎設施、資源管控層、虛擬化層、平臺能力層和應用層組成。

圖3 物聯(lián)網(wǎng)系統(tǒng)架構簡圖

等級保護2.0中云計算部分主要考慮基礎設施和虛擬化層以及相關組件的安全。對于物理環(huán)境安全，等級保護重點在于基礎設施的物理安全及計算/存儲資源的跨境問題，要求全部基礎設施應位于中國境內(nèi)。

4.2 大數(shù)據(jù)應用場景

大數(shù)據(jù)以其數(shù)據(jù)5V（數(shù)據(jù)量大、種類繁多、價值高、數(shù)據(jù)增長快、數(shù)據(jù)質(zhì)量可信賴）特點，一旦遭到破壞、泄露或篡改就會嚴重威脅國家安全、社會秩序以及公共利益。大數(shù)據(jù)安全保護原則以數(shù)據(jù)為核心，關注數(shù)據(jù)的全生命周期安全，即從數(shù)據(jù)采集、到數(shù)據(jù)應用的安全。其中通信用戶的數(shù)據(jù)又占有較大的比例，具有較高的價值。

大數(shù)據(jù)應用如圖2，通常是由大數(shù)據(jù)平臺實現(xiàn)，大數(shù)據(jù)平臺為應用提供數(shù)據(jù)資源、數(shù)據(jù)分析和服務支撐，包括數(shù)據(jù)采集層、數(shù)據(jù)分析層和數(shù)據(jù)應用層，通過對數(shù)據(jù)的采集、處理、存儲、分析、展示等，為數(shù)據(jù)創(chuàng)造價值。

等級保護2.0中，大數(shù)據(jù)應用擴展要求中重點考慮基礎設施、數(shù)據(jù)安全以及數(shù)據(jù)相關功能/組件的安全。對于物理環(huán)境安全、網(wǎng)絡通信安全以及計算環(huán)境安全均有明確規(guī)定。

4.3 物聯(lián)網(wǎng)應用場景

簡單來說，物聯(lián)網(wǎng)系統(tǒng)的技術架構如圖3，就是由感知層、網(wǎng)絡層傳輸、應用層構成。其中感知層包括傳感器節(jié)點和傳感網(wǎng)關節(jié)點或由RFID標簽和RFID讀寫器構成的RFID系統(tǒng)；網(wǎng)絡傳輸層包括將感知數(shù)據(jù)遠距離傳輸?shù)教幚碇行牡木W(wǎng)絡，包括電信網(wǎng)、互聯(lián)網(wǎng)、移動通信網(wǎng)等；應用層包括對感知數(shù)據(jù)進行存儲和智能處理的平臺，并對業(yè)務應用終端提供服務。

感知層主要用于識別物體和采集信息，是物聯(lián)網(wǎng)的關鍵，是等級保護2.0標準中的關注重點。在測評中，重點關注感知層的節(jié)點設備和網(wǎng)關節(jié)點設備安全。

對于物理環(huán)境安全、網(wǎng)絡通訊安全、區(qū)域邊界安全、計算環(huán)境安全方面，等級保護2.0要求中均做出擴展要求。

4.4 移動互聯(lián)網(wǎng)應用場景

移動互聯(lián)網(wǎng)指移動終端通過無線通道接入的應用模式。移動互聯(lián)網(wǎng)的主要結(jié)構由移動終端、無線網(wǎng)絡和應用接入三部分組成。移動終端通過無線通道連接無線接入設備，無線接入網(wǎng)關通過訪問控制策略限制移動終端的訪問行為，后臺的管理系統(tǒng)負責對其管理，包括向客戶端軟件發(fā)送移動設備管理、移動應用管理和移動內(nèi)容管理策略等。

等級保護中移動互聯(lián)網(wǎng)部分重點考慮移動終端、無線接入網(wǎng)關以及相關的設備安全。

4.5 5G業(yè)務應用場景

5G將全面構筑經(jīng)濟社會發(fā)展的關鍵信息基礎設施，其安全的重要性顯著提升，5G的發(fā)展已被提升至國家安全戰(zhàn)略層面。各國紛紛將5G安全定位為發(fā)展的重點。

5G網(wǎng)絡中有五大關鍵技術引入，帶來新的風險與挑戰(zhàn)：網(wǎng)絡功能虛擬化（NFV）將實體網(wǎng)元變?yōu)樘摂M化軟件，物理資源共享，導致設備安全邊界模糊；邊緣計算（MEC）導致信息內(nèi)容檢測和溯源難度增大；網(wǎng)絡開放能力導致開放端口成為數(shù)據(jù)泄漏的脆弱點；網(wǎng)絡切片技術使新業(yè)務場景下安全責任歸屬問題不明晰；異構接入和多終端形態(tài)的安全能力差異大，容易成為新的攻擊目標。

等級保護2.0中沒有對5G業(yè)務的安全保護做出要求，針對其技術特點，可在切片安全控制、自動化運維安全增加保護，保障網(wǎng)絡通訊安全及物理環(huán)境安全。同時針對邊緣數(shù)據(jù)要防篡改、防泄漏，保障報賬計算環(huán)境安全，為5G業(yè)務的發(fā)展保駕護航。

五、等級保護2.0下的通信網(wǎng)絡安全體系

通信網(wǎng)絡安全體系的整體安全框架以國家政策法規(guī)為背景，遵循等級保護2.0要求，結(jié)合IPDDR架構設計。通信網(wǎng)絡安全體系按要求設計安全管理、安全技術以及安全運維三大安全體系來打造更加智能的自適應技術體系，以實現(xiàn)等級保護2.0要求中的安全管理中心和安全通信網(wǎng)絡、區(qū)域邊界、計算物理環(huán)境的防護。

根據(jù)等級保護定級規(guī)定，通信行業(yè)應將等級保護定為三級，要求系統(tǒng)上線后，進入運營期，需要建立安全運維的長效機制；對異常事件能夠快速發(fā)現(xiàn)及處置，減少損失、降低不良影響；滿足網(wǎng)信辦、公安及上級主管部門定期檢查和測評的安全要求。

5.1 安全管理體系

安全不僅僅是技術問題，更是管理層面的問題，建立良性的管理體系尤為必要。

建立安全管理體系：建議完善安全管理工作的管理制度，解決移動通信網(wǎng)的人員管理問題。

首先，對管理部門和崗位進行劃分，明確職責；其次，定義管理人員的工作職責、分工和技能要求；再次，配備安全管理的技術專職人員，要求有相應崗位職責的認證資格，專職技術人員能夠獨立處理緊急事件，真正形成“小管理、大技術”的安全管理團隊；第四，制定、實施安全檢查，形成常態(tài)化工作。匯總安全檢查數(shù)據(jù)，形成安全檢查報告，對安全檢查結(jié)果進行通報。

提高安全崗位人員能力及意識：制定安全技能培訓、安全意識教育等計劃，有效提升安全崗位人員的專業(yè)技能及安全意識。針對調(diào)離人員及時終止權限，嚴格辦理調(diào)離手續(xù)，同時應對外協(xié)人員進行有效管理。安全管理人員的團隊建設將直接影響安全體系的安全系數(shù)。

建立安全管理生態(tài)：安全管理生態(tài)指貫穿到安全系統(tǒng)的全生命周期管理，在系統(tǒng)立項、方案設計、建設、定級與備案、驗收與測試、交付與測評、運維管理均需要安全管理人員參與進行安全管理。

5.2 技術支撐體系

5.2.1 安全區(qū)域邊界劃分

安全區(qū)域邊界劃分主要有5個控制點，包括邊界防護、訪問控制、入侵防范、惡意代碼/垃圾郵件防范、安全審計。

邊界防護：要求項包括受控接口通信、入網(wǎng)檢查或限制、外聯(lián)檢查或限制及無線網(wǎng)絡受控接入，主要解決方式是通過部署防火墻、網(wǎng)閘以及邊界設備策略解決不同安全域之間訪問與邏輯隔離；通過部署網(wǎng)絡準入系統(tǒng)，針對終端的違規(guī)接入和非法外聯(lián)進行管控；通過部署無線接入網(wǎng)關解決無線網(wǎng)絡受控接入。某省根據(jù)安全域邊界劃分明確的要求進行DMZ區(qū)域劃分，解決安裝防火墻后外部網(wǎng)絡的訪問用戶不能到訪內(nèi)部網(wǎng)絡服務器的問題，更加有效地保護了內(nèi)部網(wǎng)絡，使不同功能的網(wǎng)絡邊界更加明晰。

訪問控制：要求項包括訪問控制策略、訪問控制規(guī)則精簡優(yōu)化、基于會話的訪問控制以及應用層訪問控制。通過訪問控制規(guī)則實現(xiàn)安全傳輸?；趯?shù)據(jù)包的源地址、目的地址、源端口、目的端口，請求服務器進行檢查，以實現(xiàn)數(shù)據(jù)的安全傳輸。

入侵防范：要求項包括檢測、防止或限制內(nèi)外發(fā)起的網(wǎng)絡攻擊；檢測和分析新型攻擊以及發(fā)現(xiàn)時記錄和報警。主要通過部署入侵防御系統(tǒng)、抗DDOS攻擊系統(tǒng)、抗ATP攻擊系統(tǒng)等對惡意軟件入侵進行發(fā)現(xiàn)、記錄并報警。某省通過安全態(tài)勢感知平臺可實現(xiàn)內(nèi)外部威脅、異常行為威脅，進行檢測分析和趨勢分析，并及時預警、輸出。

惡意代碼和垃圾郵件防范：要求項包括網(wǎng)絡惡意代碼檢測和清除、惡意代碼庫升級、垃圾郵件檢測和清除、垃圾郵件規(guī)則庫升級，主要通過防病毒網(wǎng)關及病毒庫對網(wǎng)絡中的木馬、病毒進行檢測、告警和阻斷；防垃圾郵件網(wǎng)關對垃圾郵件進行有效防范。

安全審計：要求項包括全用戶審計和重要審計、審計記錄項、審計記錄備份和保護以及遠程訪問和訪問互聯(lián)網(wǎng)單獨審計，主要通過部署網(wǎng)絡審計系統(tǒng)、上網(wǎng)行為管理系統(tǒng)及在網(wǎng)絡核心放置堡壘機來對運維人員遠程運維設備時，進行操作記錄、分析、審計，為溯源提供依據(jù)。

5.2.2 安全通信網(wǎng)絡

安全通信網(wǎng)絡的主要控制點有3個，包括網(wǎng)絡架構、通信傳輸以及可信驗證，網(wǎng)絡拓撲如圖4。

網(wǎng)絡架構：要求項包括設備處理能力、網(wǎng)絡帶寬滿足業(yè)務要求；安全域劃分，重要區(qū)域的位置和保護以及可用性冗余。通過防火墻或網(wǎng)閘的設置，實現(xiàn)安全區(qū)域的劃分，合理劃分安全域，不同域之間進行有效安全隔離；關鍵網(wǎng)絡設備和計算設備采用冗余設計，保證系統(tǒng)有效運行。

通信傳輸：要求項包括傳輸數(shù)據(jù)完整性和保密性，主要通過IPSec VPN、SSL VPN及應用安全網(wǎng)關實現(xiàn)。

可信驗證：要求項包括通信設備及應用程序可信驗證、破壞報警和審計記錄外發(fā)，通過集中審計系統(tǒng)得以實現(xiàn)。

5.2.3 安全管理中心

安全管理中心的控制點有4個，包括系統(tǒng)管理、審計管理、安全管理以及集中管理。

圖4 典型網(wǎng)絡拓撲圖

系統(tǒng)管理：通過部署安全管理平臺，對登錄系統(tǒng)的管理員進行身份鑒別，系統(tǒng)配有三員角色，要求三員分離，即系統(tǒng)管理員、安全管理員和審計管理員分離。系統(tǒng)管理員對系統(tǒng)參數(shù)、配置、啟動、修改、加載等配置有授權權限，可以進行統(tǒng)一配置管理。

審計管理：審計管理員通過認證登錄管理平臺，有權限對系統(tǒng)的操作日志、告警日志進行分析、統(tǒng)計。

安全管理：安全管理員通過認證登錄管理平臺，有權限對安全策略下發(fā)、配置、修改、訪問控制、授權等統(tǒng)一配置管理。

集中管理：要求項包括特定的管理區(qū)域、管理數(shù)據(jù)的安全傳輸、全面的集中監(jiān)控、審計數(shù)據(jù)匯總和集中分析、安全策略、惡意代碼、補丁升級等集中管理以及安全事件識別、報警和分析。通過安全域劃分、策略集中管理等手段，安全管理平臺對所有安全系統(tǒng)的統(tǒng)一納管，實現(xiàn)對整體安全態(tài)勢的集中化展現(xiàn)，有效提高網(wǎng)絡安全整體防護水平。

5.3 安全運維體系

安全運維體系遵循ITIL、ISO系列標準，參考SOA架構，建設貫穿安全運維全生命周期的管理辦法、標準、模式、管理對象以及基于流程管理的安全運維體系。建立基于現(xiàn)網(wǎng)的網(wǎng)絡安全系統(tǒng)煙囪式架構：首先，對系統(tǒng)功能進行梳理并整合；其次，建立安全資產(chǎn)管理平臺，對資產(chǎn)進行信息管理、發(fā)現(xiàn)管理、脆弱性管理，同時可對資產(chǎn)進行展示及分析，能夠全面、直觀對全網(wǎng)安全資產(chǎn)進行閉環(huán)管理。安全運維體系能夠?qū)崿F(xiàn)安全策略管理、組織管理、運維管理，是技術體系的核心和樞紐。

安全運維體系能夠通過平臺實現(xiàn)網(wǎng)絡系統(tǒng)安全管理、密碼管理、備份與恢復、應急預案管理、漏洞和風險管理、惡意代碼防范、配置管理、安全事件處置、機房安全管理等功能。

安全運維體系是安全系統(tǒng)的重要組成部分，對保證網(wǎng)絡安全、提升系統(tǒng)效能、優(yōu)化系統(tǒng)流程起到必要的核心作用。

六、總結(jié)

等級保護2.0標準在云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制、移動互聯(lián)網(wǎng)等新的應用環(huán)境均提供了建設標準及指導意見，本文從等級保護2.0標準入手，結(jié)合移動通信網(wǎng)網(wǎng)絡安全的現(xiàn)狀，以等級保護2.0標準為基準要求，提出構建網(wǎng)絡安全體系架構的建設思路，提升整體網(wǎng)絡安全的綜合防護能力，做到事前可預測、事發(fā)可管控、事后應急并實時取證審計，切實保障網(wǎng)絡、用戶數(shù)據(jù)和業(yè)務的安全性，做清朗網(wǎng)絡空間的守護者。■